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Procedures and appliance about the control of business 
courses, especially at a vehicle, with what a function unit 
(101) with a bus system (105) stands in connection, with 
what the function unit is overseen the bus system und/oder 
by a supervision unit (102) and separates the connection 
(108, 104) the function unit with the bus system the 
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supervision unit in a security case through access, with what 
the access of the supervision unit is so konfigurierbar 
through the function unit, that the access path (110) of the 
supervision unit can be interrupted by a configuration means 
(103). 

EXEMPLARY CLAIMS- 1. Procedure for the control of 
Betriebsablufen, in particular with a vehicle, whereby a 
functional unit with a bus system is located in connection, 
whereby the functional unit and/or the bus system are 
berwachungseinheit berwacht by one and 
berwachungseinheit the connection of the functional unit 
with the bus system in a safety case by access separate, by 
the fact characterized that that is access berwachungseinheit 
by the functional unit configurable. 2. Procedure according to 
requirement 1, by the fact characterized that that is in such 
a manner configurable access that the functional unit with a 
configuration means, in particular, in connection stands for a 
storage area and writes into the configuration means at least 
one configuration value or from the configuration means 
Ischt and that is mglich access berwachungseinheit only at 
written configuration value. 3. Procedure according to 
requirement 1, by the fact characterized that with a system 
that enthlt at least the functional unit and 
berwachungseinheit different modes of operation is 
differentiated and abhngig from the modes of operation that 
access is berwachungseinheit configured. 4. Procedure 
according to requirement 3, by the fact characterized that 
access abhngig by at least one of the following modes of 
operation one configures to that: System operation, system 
wake, system advance, systems programming, 
Systemprfung, system simulation and/or-application. 5. 
Procedure according to requirement 2 and 3, thereby are 
used is used marked that several configuration values, and 
for each mode of operation its own configuration value 
and/or per mode of operation different configuration values 
to be differentiated. 6. Device for the control of 
Betriebsablufen with the vehicle, with a functional unit, in 
particular a control unit, which exhibit a connection to a bus 
system, as well as one berwachungseinheit in particular, 
which berwacht the functional unit and/or the bus system, 
whereby the connection of 
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© Vorrichtung und Verfahren zur Steuerung von Betriebsablaufen, insbesondere bei einem Fahrzeug 

® Verfahren und Vorrichtung zur Steuerung von Betriebs- 
ablaufen, insbesondere bei einem Fahrzeug, wobei eine 
Funktionseinheit (101) mit einem Bussystem (105) in Ver- 
bindung steht, wobei die Funktionseinheit und/oder das 
Bussystem durch eine Uberwachungseinheit (102) uber- 
wacht werden und die Uberwachungseinheit die Verbin- 
dung (108, 104) der Funktionseinheit mit dem Bussystem 
in einem Sicherheitsfall durch Zugriff trennt, wobei der 
Zugriff der Uberwachungseinheit durch die Funktionsein- 
heit derart konfigurierbar ist, dass durch ein Konfigurati- 
onsmitte! (103) der Zugriff pf ad (110) der Uberwachungs- 
einheit unterbrochen werden kann. 
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Beschreibung 

Stand derTechnik 

[0001] Die Erfindung betrifft eine Vorrichtung und ein 5 
Verfahren zur Steuerung von Betriebsablaufen, insbeson- 
dere bei einem Fahrzeug. GemSB den Oberbegriffen der un- 
abhangigen Anspriiche steht dabei eine Funktionseinheit mil 
einem Bussystem in Verbindung, wobei die Funktionsein- 
heit und/oder das Bussystem durch eine Oberwachungsein- 10 
heit iiberwacht werden und die Uberwachungseinheit die 
Verbindung der Funktionseinheit mit dem Bussystem in ei- 
nem Sicherheitsfall durch Zugriff trennt. 
[0002] Dazu ist aus der EP 0 983 905 A2 eine Schaltungs- 
anordnung zur Abkopplung einer elektronischen Einrich- 
tung von einer Datenleitung in einem Kraftfahrzeug be- 
kannt. Uber die Datenleitung tauschen die elektronische 
Einrichtung und wenigstens ein weiteres elektrisches Sy- 
stem in ihrem Betrieb Inform ationen aus. Bei der Schal- 
tungsanordnung, bei welcher trotz Ausfall einer an die Da- 
tenleitung angeschlossenen elektronischen Einrichtung der 
Fahrzeugbetrieb aufrechterhalten werden kann, ist die elek- 
tronische Einrichtung mit einer Fehlererkennungseinrich- 
tung vcrbunden. Bei Feststellung eines Fehlers der elektro- 
nischen Einrichtung durch die Fehlererkennungseinrichtung 
wird die elektronische Einrichtung von der Datenleitung 
durch die Schaltungsanordnung abgekoppelt, wobei die Be- 
triebsfahigkeit des elektrischen Systems aufrechterhalten 
bleibt. 

[0003] Daneben zeigt der VDI-Bericht Nr. 687, 1988 "An- 
triebsschlupfregelung - Realisierung bei Audi", Seite 219 
bis 222, eine Elektronik mit zwei Mikroprozessoren, welche 
sich gegenseitig uberwachen und von denen einer eine End- 
stufe ansteuert. Dabei kann jeder Prozessor im Fehlerfall 
eine Sicherheitsschaltung aktivieren, welche dann die Riick- 
setzleitungen der Mikroprozessoren aktiviert und fur defi- 
nierte Softwareabarbeitung sorgt. Ein eventuell auftretender 
Defekt in der Endstufe kann nach Ruckmeldung an den Pro- 
zessor durch Deaktivierung der Endstufenansteuerung abge- 
fangen werden oder, sollte dies nicht greifen, durch Betati- 
gung des Hauptrelais in der Sicherheitsschaltung durch je- 
den der beiden Prozessoren. 

[0004] Bei den aus dem Stand der Technik bekannten Sy- 
stemen ist eine Wiederankopplung der elektronischen Ein- 
richtung an das elektrische System ebenso wie eine Verhin- 
derung der Abtrennung in bestimmten Situationen nicht vor- 
gesehen. Insbesondere bei Fehlerheilung ware eine leicht 
handhabbare Wiederankopplung der elektronischen Einrich- 
tung an das elektrische System oder die Verhinderung einer 
sofortigen Abtrennung wiinschenswert. 
[0005] Zum anderen kann ein Sicherheitsfall, welcher 
eine Abtrennung der elektronischen Einheit vom elektri- 
schen System durch eine Sicherheitsschaltung nach sich 
zieht in bestimmten Betriebsarten bzw. Betriebszustanden 
nicht problematisch oder sogar gewunscht sein. Die zwin- 
gende Abtrennung im Stand derTechnik ware dann eher un- 
gunstig. Durch einfache Wiederankopplung oder Verhinde- 
rung der Abtrennung fur diese Betriebszustande konnte 
diese Situation leicht gehandhabt werden. Der Sicherheits- 
fall wurde dann entgegen dem Stand der Technik fur diese 
Zustande nicht zu einer Abtrennung fuhren, da die Ursachen 
fiir den Sicherheitsfall in diesen Zustanden nicht sicherheits- 
kritisch sind. 

[0006] Deshalb soli durch die Erfindung ein Verfahren 
und eine Vorrichtung geschaffen werden, welche die Funk- 
tionalitat bei einer Steuerung von Betriebsablaufen im Hin- 
blick auf die Abtrennung im Sicherheitsfall gemafi obiger 
Ausfuhrungen optimiert. 
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Vorteile der Erfindung 

[0007] Dabei geht die Erfindung aus von einem Verfahren 
und einer Vorrichtung zur Steuerung von Betriebsablaufen, 
insbesondere bei einem Fahrzeug, wobei eine Funktionsein- 
heit mit einem Bussystem in Verbindung steht und die Funk- 
tionseinheit und/oder das Bussystem durch eine Uberwa- 
chungseinheit iiberwacht werden. Dabei trennt die "Qberwa- 
chungseinheit die Verbindung der Funktionseinheit mit dem 
Bussystem in einem Sicherheitsfall durch Zugriff. Dieser 
Zugriff der tJberwachungseinheit soli dann vorteilhafter 
Weise durch die Funktionseinheit konfigurierbar sein. Da- 
durch kann in bestimmten Situationen eine Abtrennung der 
Funktionseinheit vom Bussystem verhindert werden. 
Ebenso kann dadurch die eventuell bereits in einer Situation 
oder einem Betriebszustand abgetrennte Funktionseinheit in 
einer anderen Situation oder einem anderen Betriebszustand 
wieder angekoppelt werden. 

[0008] Dabei wird vorteilhafter Weise der Zugriff derart 
konfiguriert, dass die Funktionseinheit, welche mit einem 
Speicherbereich in Verbindung steht oder diesen enthalt, in 
diesen Speicherbereich wenigstens einen Konfigurations- 
wert schreibt oder aus diesem Speicherbereich lbscht, wobei 
der Zugriff der tJberwachungseinheit nur bei eingeschriebe- 
nem Konfigurationswert moglich ist. 
[0009] Als weitere vorteilhafte Ausgestaltung kann vorge- 
sehen sein, dass abhangig von unterschiedlichen Konfigura- 
tionswerten, welche uberpriift werden, in unterschiedlichen 
Betriebsarten bzw. Betriebszustanden der Zugriff der tJber- 
wachungseinheit moglich ist oder gesperrt wird. 
[0010] Dabei werden zweckmaBiger Weise verschiedene 
Betriebsarten bei einem System, welches wenigstens die 
Funktions- oder Steuereinheit und die Uberwachungseinheit 
enthalt unterschieden, wobei der Zugriff der Uberwa- 
chungseinheit dann abhangig von den Betriebsarten konfi- 
guriert wird. 

[0011] ZweckmaBiger Weise werden dabei folgende Be- 
triebsarten unterschieden und der Zugriff abhangig von we- 
nigstens zwei dieser Betriebsarten konfiguriert: Systembe- 
trieb, Systemnachlauf, Systemvorlauf, Systemprogrammie- 
rung, und Systemsimulalion bzw. Systemapplikation. 
[0012] In einer vorteilhaften Ausgestaltung des erfin- 
dungsgemaBen Gegenstandes ist die Uberwachungseinheit, 
eine Verbindungseinheit zur Anbindung an ein Bussystem, 
insbesondere als Bustreiber, und ein Konfigurationsmittel, 
insbesondere als Speichermittel bzw. Speicherbereich oder 
Register, zur Konfiguration des Zugriffs der Uberwachungs- 
einheit, als eine raumlich integrierte Baugruppeneinheit zu- 
sammengefaBt bzw. als ein Schaltkreis als IC integriert. 
[0013] Somit konnen vorteilhafter Weise im Sicherheits- 
fall im Systembetrieb keine potenuell falschen oder nicht 
gewiinschten CAN-Werte versendet werden, wodurch ei- 
gensichere Einzeisysteme im Netzwerkverbund entstehen. 
[0014] Daneben wird zweckmaBiger Weise gewahrleistet, 
daB z. B. fur die Steuergeratepriifung oder -programmierung 
und gegebenen falls im Nachlauf oder anderen Betriebsarten 
sich der Funktionsrechner bzw. die Funktionseinheit durch 
eine geeignete Prozedur freischalten kann. Dazu wird vor- 
teilhafter Weise dann in einer Ausfuhrungsform z. B. der 
Konfigurationswert durch den Funktionsrechner geloscht 
wodurch dieser trotz ansprechendem Uberwachungsmodul 
bz. tJberwachungseinheit weiter CAN-Botschaften versen- 
den kann. Weitere Vorteile und vorteilhafte Ausgestaltungen 
der Erfindung sind Gegenstand der Anspriiche und der Be- 
schreibung. 
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Zeichnung 



[0015] Die Erfindung wird im weiteren anhand der in der 

Zeichnung dargestellten Figuren beschrieben. 

[0016] In Fig, 1 ist schematisch eine erfindungsgemaBe 5 

Vorrichtung mit Oberwachungseinheit, Funktionseinheit, 

Verbindungseinheit und Speicherbereich dargestellt. 

[0017] Ein entsprechendes erfindungsgemaBes Verfahren 

wird in Fig. 2 in Form eines FluBdiagramms dargestellt. 

' to 
Beschreibung der Ausfiihrungsbeispiele 

[0018] In Fig. 1 ist eine Funktionseinheit 101 beispiels- 
weise eine Steuereinheit zur Steuerung von Betriebsablau- 
fen bei einem Fahrzeug dargestellt. Diese Funktionseinheit is 
101 ist iiber ein System von Datenleitungen, insbesondere 
ein Bussystem, mit weiteren Funktionseinheiten, insbeson- 
dere weiteren Steuereinheiten, Aktuatorik oder Sensorik, 
verbunden. Am Bussystem 105 sind weitere Funktionsein- 
heiten als weitere Busteilnehmer angekoppelt, die aber im 20 
einzelnen nicht dargestellt sind. Die Summe der weiteren 
Funktionseinheiten mit den Datenleitungen konnte auch im 
Bussystem 105 zusammengefaBt werden. 
[0019] Die Verbindung zum Bussystem 105 ist in Fig. 1 
symbolisch als bidirektionale Verbindung 108 und eine Ver- 25 
bindungseinheit 104 dargestellt. Dabei stellt die Verbin- 
dungseinheit 104 beispielsweise eine Signalverstarkungs- 
einrichtung, insbesondere eine Bustreiberschaltung z, B. ei- 
nen CAN-Treiber fur ein CAN-Bussystem dan Die Funkti- 
onseinheit 101 bzw. das Bussystem 105 und/oder der Bu- 30 
streiber 104 sind durch eine Oberwachungseinheit 102 kon- 
trollierbar. Beispielsweise anhand von Signalen des Bussy- 
stems 105 der Verbindungseinheit 104 oder der Funktions- 
einheit 101 erkennt die Uberwachungseinheit 102 Fehlfunk- 
tionen, oder sonstige einen Sicherheitsfall hervorrufende 35 
Ursachen. 

[0020] Ein solcher Sicherheitsfall kann bei Fehlem im Sy- 
stem auftreten, aber auch z. B. im Systemnachlauf bei Para- 
metereinstellungen oder beispielsweise bei Initialisierungs- 
vorgangen im Systemvorlauf. Diese Initialisierungsvor- 40 
gange im Systemvorlauf konnen aber z. B. bei einer Pro- 
grammierung, Simulation, Applikation oder Priifung ge- 
wiinscht sein. Ein Sicherheitsfall, z. B. ausgelost im Sy- 
stemvorlauf sollte dabei nicht die Abtrennung der Verbin- 
dung der Funktionseinheit mit dem Bussystem durch Zu- 45 
griff der Oberwachungsschaltung zur Folge haben. Ebenso 
sollten bestimmte Vorgange bei der Systemprogrammie- 
rung, der Systempriifung oder der Systemsimulation bzw. 
Systemapplikation, welche eigentlich im normalen System- 
betrieb, z. B. dem Fahrbetrieb eines Fahrzeugs, einen Si- 50 
cherheitsfall auslosen wurden, aber in diesen Betriebsarten 
gewiinscht sind keinen wirkenden Zugriff des Oberwa- 
chungsmoduls zur Folge haben. Im Systembetrieb selbst, 
also z. B. im Fahrbetrieb wird aber das Versenden von Bot- 
schaften durch die Funktionseinheit in einem solchen Si- 55 
cherheitsfall durch die Uberwachungseinheit bzw. das Uber- 
wachungsmodul unterbunden. 

[0021] Somit konnen im Sicherheitsfall im Systembetrieb 
keine potentiell falschen oder nicht gewiinschten CAN- 
Werte versendet werden, wodurch eigensichere Einzelsy- 60 
steme im Netzwerkverbund entstehen. 
[0022] Danebcn wird gewahrleistet, daB z. B. fur die Steu- 
ergerateprufung oder -prograrnrnierung und gegebenenfalls 
im Nachlauf oder anderen Betriebsarten sich der Funktions- 
rechner bzw. die Funktionseinheit durch eine geeignete Pro- 65 
zedur freischalten kann. Dazu wird dann in einer Ausfuh- 
rungsform z. B. der Konfigurationswert durch den Funkti- 
onsrechner geloscht wodurch dieser trotz ansprechendem 
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Uberwachungsmodul weiter CAN-Botschaften versenden 
kann. 

[0023] Dabei kann eine einzelne Oberwachungseinheit 
ebenso vorgesehen sein, wie jeweils eine Oberwachungsein- 
heit fur jede oder auch fur mehrere Funktionseinheiten, wo- 
bei dann die in Fig. 1 dargestellte Anordnung prinzipiell bei 
jedem Busteilnehmer bzw. fur eine Gruppe von Busteilneh- 
mern eingesetzt wiirde. 

[0024] Die Oberwachungseinheit 102 steuert bzw. bedient 
ein erstes Zugriff selement 106 durch welches im Sicher- 
heitsfall die Verbindung 108 unterbrochen werden kann. In 
einer weiteren Ausfuhrungsform kann der Zugriff der Ober- 
wachungseinheit auch auf die Verbindungseinheit 104 direkt 
erfolgen, wobei dann in der Verbindungseinheit 104 selbst 
die Unterbrechung der Funktionseinheit 101 zum Bussy- 
stem 105 initiiert wird, beispielsweise durch ein Zugriffsele- 
ment in der Verbindungseinheit 104. 
[0025] Neben dem ersten Zugriffselement 106 ist im Zu- 
griffspfad 110 der Oberwachungseinheit auf die Verbindung 
von Funktionseinheit 101 zu Bussystem 105 ein zweites Zu- 
griffselement 107 vorgesehen. Dieses zweite Zugriffsele- 
ment 107 wird tiber Zugriffspfad 111 durch ein Konfigurati- 
onsmittel 103 bedient. Das Konfigurationsmittel 103 selbst 
wird iiber Pfad 109 durch die Funktionseinheit 101 ange- 
sprochen. 

[0026] In einem bevorzugten Ausfuhrungsbeispiel ist das 
Konfigurationsmittel 103 lediglich als ein Speichermittel 
bzw. ein Speicherbereich ausgebildet, in welchen wenig- 
stens ein Konfigurationswert eingeschrieben bzw. aus wel- 
chem dieser geloscht wird. Das Einschreiben, bzw. Loschen 
des Konfigurationswertes im Speichermittel 103 fuhrt die 
Funktionseinheit 101 iiber Pfad 109 durch. Abhangig von 
dem Konfigurationswert im Speichermittel 103 wird der Zu- 
griff bzw. der Zugriffspfad 110 der Oberwachungseinheit 
102 konfiguriert. Im einfachsten Fall erfolgt die Konfigura- 
tion derart, dass ein eingeschriebener Konfigurationswert 
TDI (Transmit Disable) den Zugriff der Oberwachungsein- 
heit 102 auf die Verbindung von Funktionseinheit 101 und 
Bussystem 105 also Verbindungspfad 108 bzw. Verbin- 
dungseinheit 104 unterbindet. Dies kann einerseits dadurch 
geschehen, dass die Oberwachungseinheit 102 vor jedem 
Zugriff den Speicherbereich bzw. das Speichermittel als 
Konfigurationsmittel 103 auf die Prasenz des Konfigurati- 
onswertes TDI untersucht und nur bei fehlendem Wert TDI 
einen Zugriff durchfuhrt wird oder das ein eingeschriebener 
Konfigurationswert TDI von vornherein eine Blockierung 
des Zugriffs, also des Zugriffspfades 110 der Oberwa- 
chungseinheit 102 zu Folge hat. Somit ist das zweite Zu- 
griffselement 107 symbolisch zu verstehen. Dies kann einer- 
seits ein tatsachliches Schaltmittel zum Offhen und Schlie- 
Ben des Zugriffspfades sein, andererseits kann diese Funk- 
tion auch in Software in der Oberwachungseinheit 102 oder 
im Zugriffspfad 110 oder auch im Konfigurationsmittel 103 
realisiert sein. 

[0027] Gleiches gilt im Prinzip auch fur das erste Zugriffs- 
element 106, wobei aus Sicherheitsgriinden eine Realisie- 
rung als Schaltmittel und damit eine galvanische Trennung 
der Funktionseinheit 101 vom Bussystem 105 bzw. der Ver- 
bindungseinheit 104 zweckmaBig ist. 
[0028] In einer vorteilhaften Ausgestaltung des erfin- 
dungsgemaBen Gegenstandes ist die Oberwachungseinheit 
102, die Verbindungseinheit 104, insbesondere als Bustrei- 
ber, und das Konfigurationsmittel 103, insbesondere als 
Speichermittel bzw. Speicherbereich oder Register als inte- 
grierte Baugruppeneinheit 100 zusammengefaBt bzw. als ein 
Schaltkreis als IC integriert. 

[0029] Der Funktionsrechner bzw. die Funktionseinheit 
101 kann den. Konfigurationswert TDI iiber eine beispiels- 
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weise serielle Datenverbindung 109 setzen und loschen. Ein 
beispielhafter Ablauf kanh dann wie folgt, insbesondere fiir 
ein Fahrzeug, dargclegt werden: 

[0030] Beim Einschalten des Systems, welches wenig- 
stens Funktionseinheit 101 und Oberwachungseinheit 102 
enthalt, ist der Konfigurationswert TDI geloscht. Die Funk- 
tionseinheit 101 kann ohne Bedienung der Uberwachungs- 
einheit 102 scnden, d. h. der Zugriff der Oberwachungsein- 
heit ist gesperrt. Bevor der Betrieb, insbesondere bei einem 
Fahrzeug der Fahrbetrieb, aufgenommen wird, wird der 
Konfigurationswert TDI gesetzt. Somit ist fur den Betriebs- 
fall, insbesondere den Fahrbetrieb bei Fahrzeugen die Si- 
cherheit insofern gewahrleistet, als das ein Versenden von 
Busbotschaflen, insbesondere CAN-Botschaften im Sicher- 
heitsfall durch die Uberwachungseinheit 102 unterbunden 
werden kann. Im Rahmen einer besonderen Betriebsart bzw. 
einem besonderen Betriebszustand beispielsweise dem Sy- 
stemnachlauf, Systemvorlauf einer Systemprogrammie- 
rung, einer Systempriifung oder Systemsimulation kann 
dann der Konfigurationswert TDI wieder geloscht werden. 
Somit kann z. B. ohne Bedienung der Uberwachungseinheit 
102 eine Neu- bzw. Umprogrammierung des Steuergerates, 
insbesondere der Funktionseinheit 101 oder auch einer an- 
deren am Bus angekoppelten Steuereinheit durch die Funk- 
tionseinheit 101 via das Bussystem 105 erfolgen. 
[0031] Dabei kann die Prozedur zum Setzen bzw. Loschen 
des Konfigurationswertes TDI zusatzlich abgesichert wer- 
den. Beispielsweise mussen zuerst andere Speicherbereiche 
bzw. Register geeignet beschrieben werden und/oder ein, 
insbesondere codierter, Schreibschutz aufgehoben werden. 
[0032] Die Darstellung eines solchen erfindungsgemaBen 
Verfahrens ist im Rahmen des FluBdiagramms in Fig. 2 dar- 
gestellt. Block 200 markiert dabei den Start, spezieli das 
Einschalten des Systems. In Abfrage 201 wird uberpruft, ob 
der Systembetrieb, insbesondere der Fahrbetrieb bei Fahr- 
zeugen vorgesehen ist. 

[0033] Diese Uberprufung kann mit tatsachlichen Be- 
triebsgroBen wie Motordrehzahl, Geschwindigkeit oder an- 
deren durchgefuhrt werden. Andererseits ist eine Uberpru- 
fung anhand spezieller Werte oder SystembetriebsgroBen 
moglich, die fiir bestimmte Betriebszustande wie den Fahr- 
betrieb vorhanden sind bzw. bestimmte Werte einnehmen 
und fiir andere Betriebszustande wie einen Programmierbe- 
trieb fehlen oder andere Werte einnehmen. Dabei kbnnen 
auch ganze Softwareteile die fur einzelne Betriebszustande 
geladen bzw. vorhanden sein mussen fur andere Betriebszu- 
stande fehlen woraus ebenfalls spezieli auf den Fahrbetrieb 
vorab geschlossen werden kann. 

[0034] Wird in Abfrage 201 erkannt, dass ein Fahrbetrieb 
vorgesehen ist, gelangt man zu Block 202 wo die Funktions- 
einheit 201 den Konfigurationswert TDI im Konfigurations- 
mittel 103, insbesondere im Speichermittel setzt. In der dar- 
auffolgenden Abfrage 203 wird nochmals uberpriifl, ob ein 
Fahrbetrieb vorliegt. Ist dies der Fall, gelangt man zu Ab- 
frage 204 in welcher nun die Uberwachungseinheit den Si- 
cherheitsfall kontrolliert. Liegt kein Sicherheitsfall vor, ge- 
langt man zu Block 205 wo die gewiinschten Funktionen 
und Programme im Rahmen des Fahrbetriebs ausgefuhrt 
werden. 

[0035] Von Block 205 gelangt man erneut zur Abfrage 
203 und der Kontrolle ob bzw. ob weiter ein Fahrbetrieb 
vorliegt. Ist dies nicht der Fall, gelangt man zu Abfrage 207, 
zu der ebenso von Abfrage 201 verzweigt wird wenn in die- 
ser festgestellt wird, dass kein Fahrbetrieb vorgesehen ist. 
[0036] In Abfrage 207 wird uberpruft, ob ein anderer Be- 
triebsfall vorliegt. In Fig. 2 ist beispielhaft nur ein weiterer 
Betriebsfall aus Griinden der Obersichtlichkeit gewahlt. 
Ebenso konnten weitere Betriebsarten bzw. Betriebsfalle 



nacheinander analog der dargestellten Form gepriift werden. 
Diese weiteren Betriebsfalle sind beispielsweise der Sy- 
stemnachlauf oder Nachlaufbetrieb, der Systemvorlauf oder 
Vorlaufbetrieb, die Systemprogrammierung, Systempriifung 

5 oder Systemsimulation bzw. -applikation. 

[0037] Liegt also der weitere Betriebsfall in Abfrage 207 
nicht vor, gelangt man zu Block 215, in welchem der Konfi- 
gurationswert TDI durch die Funktionseinheit bzw. den 
Funktionsrechner 101 geloscht wird und dann zum Verfah- 

io rensende in Block 216. Liegt wenigstens ein weiterer Be- 
triebsfall vor, gelangt man zu Block 212 und optional zu 
Block 2080o. In Block 212 wird der Konfigurationswert 
TDI durch den Funktionsrechner bzw. die Funktionseinheit 
geloscht. Danach wird in Block 213 der weitere Betriebsfall 

15 auf den in Abfrage 207 gepriift wurde im Rahmen der dabei 
notigen Funktionen und Programme durchgefuhrt. 
[0038] In Abfrage 214 wird kontrolliert, ob der weitere 
Betriebsfall noch vorliegt, bzw. dieser weiterhin ausgefuhrt 
werden soil. Ist dies der Fall, gelangt man wieder zu Block 

20 213 wo weitere Funktionen bzw. Programme des weiteren 
Betriebsfalls ausgefuhrt werden. Ist der weitere Betriebsfall 
beendet, bzw. abgeschlossen, gelangt man zu Block 216 
dem Verfahrensende. 

[0039] Durch den geloschten Konfigurationswert TDI in 
25 Block 212 ist im weiteren 213, 214 sichergestellt, dass die 
Uberwachungseinheit 102 das erste Zugriffselement 106 
rnittels Zugriffspfad 110 nicht bedienen kann. Damit wird 
gewahrleistet, dass beispielsweise fur die Steuergeratepru- 
fungAprogrammierung oder im Nachlauf also in einer der 
30 weiteren Betriebsarten die Funktionseinheit bzw. der Funk- 
tionsrechner sich durch eine geeignete Prozedur freischalten 
kann. Dazu loscht der Funktionsrechner 101 den Konfigura- 
tionswert TDI und kann dann trotz beispielsweise anspre- 
chender Uberwachungseinheit 102 noch Busbotschaften 
35 versenden. 

[0040] Im Sicherheitsfall, beispielsweise erkannt durch 
Abfrage 204 bei gesetztem (Block 202) Konfigurationswert 
TDI trennt namlich die Uberwachungseinheit 102 die Ver- 
bindung Funktionseinheit, bzw. Funktionsrechner 101 und 
40 Bussystem 105 bzw. Verbindungseinheit 104. Dies wird bei 
Erkennung eines Sicherheitsfalls in Abfrage 204 in Block 
206 durchgefuhrt. Ein weiterer Fahrbetrieb ist danach in der 
Regel dennoch moglich und wird in Abfrage 203 emeut ab- 
gefragt. 

45 [0041] Optional eingefugt ist Block 208o. Dieser Block 
kann zur Erhohung der Sicherheit zusatzlich eingebracht 
werden. Darin gelangt man dann aus Abfrage 207 fur den 
Fall das der weitere Betrieb vorliegt zur Abfrage 209o. 
Darin wird nun uberpruft, ob ein Sicherheitsfall bei Abfrage 

50 204 vorliegt oder nicht. Liegt kein Sicherheitsfall vor, ge- 
langt man wieder zu Block 212. 

[0042] Ist aber ein Sicherheitsfall aufgetreten, wird in Ab- 
frage 210o abgefragt, ob der Konfigurationswert TDI ge- 
setzt werden soli oder nicht. Dies hat den Hintergrund, dass 

55 in einem zum Systembetrieb, insbesondere zum Fahrbetrieb, 
unterschiedlichen Betriebsart bzw. Betriebsfall ein erkann- 
ter Sicherheitsfall, wie oben ausgefuhrt nicht zwangslaufig 
die gleiche Bedeutung hat wie im Fahrbetrieb. Gerade in 
den genannten Betriebsfallen konnen Bedingungen bzw. 

60 Zustande die im Systembetrieb sofort zu einer Verbindungs- 
trennung fuhren wiirden, durchaus gewunscht sein. 
[0043] Stellt sich also heraus, dass zwar durch die Uber- 
wachungseinheit ein Sicherheitsfall erkannt wurde der Kon- 
figurationswert TDI aber nicht gesetzt werden muB bzw. 

65 darf weil beziiglich der anderen Betriebsart die Zustands- 
kombination gewunscht ist, gelangt man ebenfalls zu Block 
212 worin der Konfigurationswert geloscht wird sofem er 
gesetzt war. Stellt sich in Abfrage 210o heraus, dass der Si- 
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cherheitsfall sehr wohl kritisch ist, beispielsweise aufgrund 
eines schwerwiegenden Defektes, welcher auch fur die wei- 
tere Betriebsart problematisch ist so wird in Block 211 o der 
Konfigurationswert TDI gesetzt bzw. sofem dieser bereits 
gesetzt ist, nicht geloscht und man gelangt zu Block 206, 5 
worin emeut die Verbindung durch die Uberwachungsein- 
heit 102 getrennt wird. 

[0044] Somit wind das Versenden von Bus-, insbesondere 
CAN-Botschaften im Sicherheitsfall durch die tiberwa- 
chungseinheit 102 unterbunden. Diese Unterbindung ist 10 
durch die Funktionseinheit bzw. in Funkuonsrechner 101 
konfigurierbar, in dem dieser den Konfigurationswert TDI 
(Transmit Disable) setzt bzw. loscht. 
[0045] In einer weiteren vorteilhaften Ausgestaltung ist 
eine feinere Differenzierung im Rahmen des Konfigurati- 15 
onswertes denkbar. Dabei ist nicht allein das Setzen oder 
Nichtsetzen des Konfigurationswertes von Bedeutung son- 
dern es spielt eine Rolle, welcher Konfigurationswert ge- 
setzt ist. So kann z. B. nach Betriebsarten unterschieden mit 
unterschiedlichen Konfigurationswerten je nach Betriebsart 20 
differenziert werden, ob die Funktionseinheit in die Lage 
versetzt wird, den Zugriff der Uberwachungseinheit zu kon- 
figurieren oder nicht. So gilt ein Konfigurationswert bei- 
spielsweise ausschlieBlich fiir die Systemprogrammierung. 
Ein Loschen dieses Konfigurationswertes lafit eine System- 25 
prufung trotz Sicherheitsfall aber nicht zu, dazu muBte ein 
anderer Konfigurationswert geloscht werden bzw. der Kon- 
figurationswert muBte ein anderer sein. 
[0046] Bei Einsatz eines Fehlerzahlers z. B. ist denkbar, 
dass ein Konfigurationswert TDI1 diesen sperrt, so dass die- 30 
ser seinen Maximalwert, der den Sicherheitsfall reprasen- 
tiert nicht erreichen kann. Ein zweiter Konfigurationswert 
TDI2 uberbriickt den Fehlerzahler und laBt den Zugriff des 
Uberwachungsmodules trotz langst erreichtem Maximal- 
wert nicht zu. Dies hat den Vorteil, dass bei Loschen von 35 
TDI2 sofort der Zugriff der Oberwachungseinheit erfolgt 
wohingegen im ersten Fall bei TDI1 erst der Maximalwert 
des Zahlers nach Loschen von TDI1 erreicht werden muB. 
Mehere Konfigurationswerte TDI1, TDI", . . . konnen dann 
je Betriebsart oder fur alle Betriebsarten gemeinsam einge- 40 
setzt werden. 

[0047] Damit gewahrleistet die Erflndung, dass im Sicher- 
heitsfall keine potentiell falschen Bus- bzw. CAN-Werte ge- 
sendet werden konnen. Dies ist eine wichtige Eigenschaft 
flir eigensichere Einzelsysteme in einem Netzverbund. 45 
Gleichzeitig kann aber eine Korrektur beispielsweise des 
aufgetretenen Fehlers erfolgen, weil beispielsweise eine 
Neuprogrammierung trotz ansprechende Uberwachungsein- 
heit offengehalten wird. 

50 

Patentanspruche 

1. Verfahren zur Steuerung von Betriebsablaufen, ins- 
besondere bei einem Fahrzeug, wobei eine Funktions- 
einheit mit einem Bussystem in Verbindung steht, wo- 55 
bei die Funktionseinheit und/oder das Bussystem durch 
eine "Oberwachungseinheit uberwacht werden und die 
Uberwachungseinheit die Verbindung der Funktions- 
einheit mit dem Bussystem in einem Sicherheitsfall 
durch Zugriff trennt, dadurch gekennzeichnet, dass 60 
der Zugriff der Uberwachungseinheit durch die Funkti- 
onseinheit konfigurierbar ist. 

2. Verfahren nach Anspruch 1, dadurch gekennzeich- 
net, dass der Zugriff derart konfigurierbar ist, dass die 
Funktionseinheit mit einem Konfigurationsmittel, ins- 65 
besondere einem Speicherbereich, in Verbindung steht 
und in das Konfigurationsmittel wenigstens ein Konfi- 
gurationswert schreibt oder aus dem Konfigurations- 
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mittel loscht und der Zugriff der Uberwachungseinheit 
nur bei eingeschriebenem Konfigurationswert moglich 
ist. 

3. Verfahren nach Anspruch 1, dadurch gekennzeich- 
net, dass bei einem System das wenigstens die Funkti- 
onseinheit und die Uberwachungseinheit enthalt ver- 
schiedene Betriebsarten unterschieden werden und ab- 
hangig von den Betriebsarten der Zugriff der Oberwa- 
chungseinheit konfiguriert wird. 

4. Verfahren nach Anspruch 3, dadurch gekennzeich- 
net, dass der Zugriff abhangig von wenigstens einer der 
folgenden Betriebsarten konfiguriert wird: Systembe- 
trieb, Systemnachlauf, Systemvorlauf, Systempro- 
grammierung, Systempriifung, Systemsimulation und/ 
oder -applikation. 

5. Verfahren nach Anspruch 2 und 3, dadurch gekenn- 
zeichnet, dass mehrere Konfigurationswerte eingesetzt 
werden, und je Betriebsart ein eigener Konfigurations- 
wert verwendet wird und/oder pro Betriebsart verschie- 
dene Konfigurationswerte unterschieden werden. 

6. Vorrichtung zur Steuerung von Betriebsablaufen 
insbesondere beim Fahrzeug, mit einer Funktionsein- 
heit, insbesondere einer Steuereinheit, welche eine Ver- 
bindung zu einem Bussystem aufweisL, sowie einer 
Uberwachungseinheit, welche die Funktionseinheit 
und/oder das Bussystem uberwacht, wobei die Uber- 
wachungseinheit die Verbindung der Steuereinheit mit 
dem Bussystem in einem Sicherheitsfall durch Zugriff 
trennt, dadurch gekennzeichnet, dass die Vorrichtung 
weiterhin Mittel enthalt, durch welche die Funktions- 
einheit den Zugriff der tJberwachungseinheit konfigu- 
riert. 

7. Vorrichtung zur Steuerung von Betriebsablaufen, 
insbesondere bei einem Fahrzeug, welche mit einer 
Funktionseinheit, insbesondere einer Steuereinheit in 
Verbindung steht, wobei die Vorrichtung eine Verbin- 
dung zu einem Bussystem aufweist, wobei die Vorrich- 
tung eine Uberwachungseinheit enthalt, welche die 
Funktionseinheit und/das Bussystem uberwacht, wobei 
die Uberwachungseinheit die Verbindung der Funkti- 
onseinheit mit dem Bussystem in einem Sicherheitsfall 
durch Zugriff trennt, dadurch gekennzeichnet, dass die 
Vorrichtung weiterhin Mittel enthalt, durch welche die 
Funktionseinheit den Zugriff der Uberwachungseinheit 
konfiguriert. 

8. Vorrichtung nach Anspruch 6 oder 7, dadurch ge- 
kennzeichnet, dass die Mittel als Konfigurationsmittel 
einen Speicherbereich umfassen, in welchem wenig- 
stens ein Konfigurationswert speicherbar ist und der 
Zugriff abhangig von den Konfigurationswert konfigu- 
riert wird. 

9. Vorrichtung nach Anspruch 8, dadurch gekenn- 
zeichnet, dass die Verbindung der Funktionseinheit 
zum Bussystem mit einer Verbindungseinheit, insbe- 
sondere einer Treiberschaltung, realisiert ist und dass 
die Uberwachungseinheit und/oder die Mittel, insbe- 
sondere der Speicherbereich, und/oder die Verbin- 
dungseinheit in einer Schaltungseinheit integriert sind. 
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